Ubuntu VPS 主机遭遇入侵尝试

tag-icon tag-icon ubuntu security vps authentication log-files
Ubuntu VPS 主机遭遇入侵尝试

可能重复:
每天发生数百次入侵尝试是正常的吗?
如果我发现有人暴力破解我的服务器密码,我该怎么办?

我有一个 Ubuntu 10.04 VPS 机箱。它已经安装了几天了,只运行了 ssh、postfix/dovecot。该服务器旨在满足我的个人需求,如电子邮件和 RoR 开发。我的服务器/var/log/auth.log已经大约有 300k,并且充满了类似这样的消息:

Jul  4 03:18:36 artemis sshd[360]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=66.96.201.81  user=root
Jul  4 03:18:38 artemis sshd[360]: Failed password for root from 66.96.201.81 port 58040 ssh2
Jul  4 03:18:39 artemis sshd[362]: reverse mapping checking getaddrinfo for 66-96-201-81.static.hostnoc.net [66.96.201.81] failed - POSSIBLE BREAK-IN ATTEMPT!

他们还尝试使用其他随机用户登录,例如usertestftpftpsamba、等等。我随机对一些 IP 地址进行了 whois 查询,发现它们似乎属于中国、乌拉圭、厄瓜多尔和其他一些国家。这种暴力入侵尝试有多常见?我需要担心吗?我应该安装防火墙或采取任何其他安全措施吗?postgresadminalex

答案1

您不必担心这些尝试,因为它们非常常见,您可以(并且必须恕我直言)采取以下措施来降低服务器受到威胁的风险:

  • 使用防火墙,如果可以,您应该只允许您的 IP 连接到非公共服务,无论它们是什么。无论如何,设置防火墙以阻止最常见的恶意/奇怪数据包(ICMP 重定向、虚假 IP 范围……)并仅允许在您需要的端口和协议上进行连接。

  • 充分利用 ssh,使用 ssh 密钥作为唯一的身份验证方法,并使用密码保护私钥,这样字典/暴力攻击就无计可施了。如果您不能使用密钥,请使用“Match”指令和“Address”进一步限制哪些帐户可以从公共 IP 登录。

  • 看一下失败2ban,此工具可以动态更改防火墙规则,以阻止来自同一 IP 的过多尝试,小心你自己也会成为受害者 :)
    有关 fail2ban 的更多信息这里

答案2

您所注意到的情况非常普遍 - 只要您的服务器位于面向公众的互联网上,人们就会试图入侵。因此,保持代码和软件包的更新是必须的!是的,使用好的防火墙也很重要。

我使用一个名为配置服务器安全 (CSF)。它的优点是它会自动记录这些内容,并且您可以将其配置为在多次 SSH 尝试失败后永久阻止某个 IP 地址。

我做的另一个做法是减少 sshd_config 文件中的“最大失败尝试次数”。

答案3

我遇到了和你一样的问题。多次 SSH 攻击和字典攻击。我建议使用 IPTables 方法 - 手动创建规则或使用 fail2ban 或denyhosts 等包。类似的东西是 pam_shield,但它的用途稍微有限一些。

我建议使用非基于密码的 SSH 登录(即基于证书/密钥),以及限制可以进行 SSH 登录的地址。

可以在此处找到一些可用于此目的的 IPTables 规则的示例: http://www.thatsgeeky.com/2011/01/limiting-brute-force-attacks-with-iptables/

相关内容